揭秘360安全卫士查杀流氓软件的原理-360文件管理器

以前记得有个软件叫做“木马杀客”,查杀木马的依据就是通过文件名和大小来判断的,而我无意中发现360安全卫士查杀流氓软件更绝,其判断流氓软件的依据仅仅依靠的是文件名!事实胜于雄辩,大家不妨看一下我下面的经历。

某日我中了一个盗号木马,金山毒霸报毒,一个口气删了三个文件:两个DLL文件和explorer.exe。其中Explorer.exe路径是正确的,明明就在C:\windows目录下,看来是这两个DLL注入到Explorer.exe进程中害得Explorer.exe一起被删除了。Explorer.exe被删除的结果当然就是系统重启后桌面没有了,调出任务管理器试图从揭秘360安全卫士查杀流氓软件的原理-360文件管理器ystem32dllcache中找出Explorer.exe复制回windows目录下,却提示无法复制。唯一的解释就是金山毒霸在作怪,后来我把金山毒霸关了后果然复制成功。windows目录不能复制过去,ystem32录总可以了吧!复制过去后并把注册表的HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\中的shell键值指向了c:\windows\system32\explorer.exe,重启后桌面还是没有出现。问题没有解决,无聊之中我乱点,点到了360安全卫士,报告说发现了恶意插件,一看居然是c:\windows\system32\explorer.exe。这个文件明明是从dllcache中复制过去的,使用金山毒霸查杀c:\windows\system32\explorer.exe并没有报毒啊!运行它也没有问题,桌面出来了,系统一切正常。难道是360安全卫士查杀流氓软件依据路径和文件名?开始我不相信,后来我动手做了几个试验,证实确实是如此。

揭秘360安全卫士查杀流氓软件的原理

按照上面的推断,如果文件名和病毒名相同的话并且出现在不该出现的目录中(比如explorer.exe应该只在windows目录下,不过我把它复制到了system32目录中),3609报毒。以前有个落雪病毒不是很嚣张吗?我们“假造”几个落雪病毒来试试360安全卫士。上网搜索得知,落雪病毒会在system32目录下生成dxdiag.com、MSCONNFIG.com、EXERT.exe等文件。我们先来新建一个空的记事本文件,然后依次把文件名改成dxdiag.com、MSCONFIG.com、EXERT.exe,注意这里要把扩展名也改了。由于是空的记事本,大小当然是0,更不会是病毒木马。接着复制到system32目录中,再启动360安全卫士进行查杀,我的猜测果然是对的。

这里360只列出了dxdiag.com这个文件,如果删除掉它,360又会列出MSCONFIG.com等等。到这里我们已经可以充分证明360的查杀依据了:路径和文件名。也许你会说360算什么,换金山清理专家吧!经过我的测试金山清理专家也好不到哪里去。那个spoolsvc我不知道是什么,没有带路径,可是那个所谓的“伪explorer.exe下载者”确实是我复制过去,一点“清除选定选”,我运行的桌面马上就被关闭了,这证明金山清理专家也差不多,好不到哪里去。

揭秘360安全卫士查杀流氓软件的原理

前段时间本人中了个ARP病毒,当时国内的金山和瑞星都不能查杀,我就提交了样本有点并且详细说明了中毒的情况,结果一周过去了一点动静也没有,当时真是对国产杀毒软件有些失望,经过这次的测试,看来国产杀毒软件要走的道路还有很长啊!

本文来自 危险漫步博客 转载请注明;

本文地址:http://www.weixianmanbu.com/article/1191.html

推荐阅读